Poważna luka Onetu: każdy mógł pobrać maile, kontakty czy kalendarze użytkowników

onet

Zapewne bardzo dobrze wiecie, że portal Onet oferuje również własną pocztę internetową. Całkiem możliwe, że wielu z Was z niej korzysta. Jak się okazuje, poczta ta miała ogromną lukę w zabezpieczeniach, która pozwalała na uzyskanie niemalże wszystkich danych użytkownika.

Poczta Onet: mogłeś pobrać niemalże wszystkie dane użytkowników

Lukę odkrył czytelnik portalu Zaufana Trzecia Strona, a zarazem profesjonalny odkrywca błędów. Poczta Onet oferuje specjalną funkcję, która pozwala na wygodne pobranie kopii swoich danych. Jest to wygodna opcja, bowiem parę kliknięć daje nam możliwość zapisania swoich maili, książek adresowych, danych użytkownika oraz kalendarzy. To tutaj tkwiła luka. To jeden z popularniejszych błędów bezpieczeństwa, czyli możliwość uzyskania nieautoryzowanego dostępu do katalogu z danymi klientów.

Jak się okazuje, funkcja ta nie została odpowiednio zabezpieczona i wystarczyło (będąc zalogowanym) do serwera wysłać żądanie:

https://download.poczta.onet.pl/userdata/121886754/..%2F..%2F
Onet
Otrzymywany kubełek (fot. Zaufana Trzecia Strona)

W odpowiedzi dostawaliśmy listing zawartości tzw. kubełka zawierającego pliki innych użytkowników. A otrzymanych danych było sporo – nie tylko adresy e-mail. Ponadto mieliśmy dostęp do danych bieżących, jak i historycznych. Odnajdziemy tam także ścieżki do konkretnych plików, które to oczywiście można było pobrać. Mowa tu chociażby o wiadomościach, książkach adresowych i innych elementów. Dane były skompresowane do plików .mbox.

onet
Dane skrzynki mailowej (fot. Zaufana Trzecia Strona)

Onet zareagował

Odkrywca błędów zgłosił błąd Onetowi, a ten zareagował błyskawicznie. Zaufana Trzecia Strona skontaktowała się z Onetem i uzyskała poniższą odpowiedź:

Dzień dobry,

Podatność była do nas zgłoszona 30 czerwca, została przez nas potraktowana z najwyższym priorytetem i tego samego dnia została poprawiona. Bezpieczeństwo użytkowników i ich dane są dla nas najważniejsze.

Dokładając wszystkich starań, udało się ustalić, że podatność była wykorzystana tylko przez osobę zgłaszającą błąd.

Dalsze prace i informowanie właściwych urzędów pozostawiamy do naszej wewnętrznej analizy i ich procesowania zgodnie z procedurami przyjętymi w organizacji.

Jednocześnie zachęcamy do uczestnictwa w programie OpenBugBounty: RASP Bug Bounty Program | Open Bug Bounty

Cieszy natychmiastowa reakcja Onetu, który zapewnia, że luka została wykorzystana tylko przez odkrywcę błędów. Jeśli jednak masz skrzynkę w tym serwisie i nie czujesz się pewnie to możesz skontaktować się z Onetem i zapytać czy Twoje dane mogły wyciec.

Źródło: Zaufana Trzecia Strona

Chcesz być na bieżąco? Śledź ROOTBLOG w Google News!